第20回 進化するフィッシング詐欺の手口


フィッシングと聞いて、何を思いうかべるでしょうか。一般の人にとっては魚を釣る、フィッシング(釣り)を思い浮かべることでしょう。しかし、ネットの世界では、悪意をもって、一般の善良なインターネットサービス利用者を騙し釣る意味なのです。このフィッシングはインターネットが人々の生活に取り込まれる20年ほど前から行われ、その被害が年々大きくなるとともに社会問題化しています。

フィッシングとは、本物と区別がつき難い偽物のウェッブサイトを作り、そのウェッブサイトに誘導し、個人情報等を盗出したり、マルウェア(コンピュータウイルス)を感染させる手口の総称です。例えば、ネット銀行やカード決済サービス、あるいはフリーマーケットやオークションサイト等のログインイン画面とほとんど同じ画面を作り、そこにそれらの正規利用者を誘導し、IDやパスワード、あるいは氏名、住所等の個人情報を入力させ、騙し取るのです。本物と見分けがつかないようなウェッブサイトを作ることは困難ではありません。騙す側にとって、最大の壁(工夫する点)は、如何にして、正規のユーザをその偽物のサイトに誘導するかです。

昔からの手口としては、スパムメール(不特定多数宛てのメール)を用いて、「不正アクセスを受けた可能性があります」とか「アカウントが一時凍結されます」等、危機感を煽り、平常心を乱させて、注意力を著しく低下させ、偽物のウェッブサイトに誘導するのです。銀行等のサイトではユーザにメールを送って、そのメールのURLからアクセスさせるようなことは決してないと再三注意をしていますが、もはや平常心をなくした利用者は容易にアクセスしてしまうのです。一般の詐欺と基本は同じです。その基本の第一は相手の平常心を失わせ、考える時間を与えることなく、指示に従わせることです

最近ではパソコンではなく、スマートフォン(スマホ)が使われ、メールではなく、SMS(ショートメッセージサービス)やツイッターやインスタグラムといったSNS(ソーシャルネットワークサービス)の利用がメインとなってきました。フィッシングもそれらに合わせて、SMSやSNSを利用しています。特にSMSを利用した詐欺のメッセージ送信はスミッシングと呼ばれ、最近増えています。さらに様々な手口も開発されていて、例えば、スマホのスケジュール管理を行うカレンダー機能を利用した手口です。カレンダー機能では他人とスケジュールを共有したり、興味あるテレビ番組やイベントの通知を自動的に行うような仕組みが備わっています。その機能が不正に利用され、自分の不注意で他のサービスと連携してしまうと、特定の日時に、不正なURLが興味を引きそうなタイトルとともに記入されてしまい、うっかりとアクセスしてしまうのです。

次々と新しい手口で騙そうとするフィッシングですが、どのようにして防げばよいでしょうか。もちろん、フィッシングサイト自体を作らせないようにすることも考えられますが、それは不可能に近いでしょう。早急にフィッシングサイトを削除するよう求めていますが、国毎の法律もあって、必ずしも削除されるわけではありません。結局は利用者が騙されないように対処しなければならないのです。まず、第一はフィッシングサイトにアクセスしないことです。つまりメールやSMSでの誘いに安易に乗らないこと、注意深く検討することです。特に危機感を煽るメッセージには、一呼吸おいて、できれば自分一人で対処しないことです。とはいえ、騙すほうは一枚上手である可能性は否定できません。フィッシングサイトにアクセスしたとしても、IDやパスワードはもちろん、個人情報を入力しないことです。いかなるサイトであっても、自分から進んで申請する場合を除いて、個人情報の入力を求められた場合は躊躇するべきです。繰り返しますが、詐欺の手口は相手の平常心を失わせる、そして判断する時間を与えないことです。一呼吸置くだけで、被害を防げる場合は少なくありません。画面では警告を次々と表示して、焦らす手口が多いのですが、決してスマホやパソコンは噛みついたり爆発したりはしません。何も入力しない限り、状態は変わらず、つまり事態を悪化させることはないのです。事態を悪化させる原因は自分自身のクリックやタップにあることがほとんどです。